最近在研究Android逆向,内购破解这一块,发现挺有味道的,当然只限做技术研究。ddos www.33ddos.com下面通过对某单机游戏的内购破解,详细介绍一下内购的方法和原理以及防护等。
材料准备
1)APP下载,本次演示的软件:登山赛车至天朝历险。
我们去其官网下载即可,另外在其他市场下载一个低版本的,这里我另外下载了一个 v1.3.1的,后面会有用。
2)至于工具,一个Android Killer加个 夜神模拟器 就可以了
3)放Android Killer 一看,可正常回编,这样也省了不少事
内购破解
01. 内购流程
内购即应用中付费购买道具或其他东西。其加入了第三方SDK(支付SDK)。支付SDK提供商(如移动、联通、支付宝等)先开发一个支付SDK,并进行加固等保护,再为开发者提供支付接口的使用指南,开发者在APP中添加了支付SDK后,通过相关配置使用SDK即可完成收费功能。
而从国内安卓的单机应用来看,其内购流程可简括为:APP--支付SDK--支付SDK服务器--APP。
Google Play内购流程较国内安卓的会更复杂一点在国内主流的内购SDK开发主要分为两类,即短信运营商类(三大运营商)和第三方支付平台类(微信、支付宝等)
02. 搜索关键字符
内购的关键函数
paysuccess onsuccess buysuccess threadSuccess orderBombsuccess payonbilling dobilling PayResult onBillingFinish BillingResult inresult paycallback resultStatus 9000 0x2328
从字面上就可知道,都是判断支付结果用的(其中0x2328是9000的十六进制)
02x01 直接搜索购买失败的Toast
1). 安装游戏后购买金币,随便填个,让它弹出购买失败的错误提示
2). 搜索关键字符 “短信验证码验证失败” 另,转Unicode码也没搜到
3). 试着搜索它的变量名 “gc_security_sms_err”
4). 果然,版本更新了,但 名称还是没变的,再试着搜索它的ID “0x7f0700a1”
5). 但至此并没搜索到其关键的判断语句,So,另找它法
02x02 搜索支付的API关键接口
1> 看一下支付的方式,还有微信和支付宝,不过我们这里就看短信支付(好友代付)吧
2> 从输入的手机号的错误提示可知是移动的接口,我们将其拉入 Android Killer后搜索移动支付 API 的关键字 “BillingResult”(前面已介绍第三方SDK的相关资料)
3> 另,看AndroidMainfest.xml文件发现应用原入口被改
4> 我们来看原入口下的类(有需要可以看反编译后的JAVA代码),这里我们直接看Smali语句
5> 跳到:pswitch_data_0 处,显然这是某API的返回代码,先另外看看 :pswitch_1分支
6> 由 :pswitch_1的分支可断定,:pswitch_1与购买失败有关,相反:pswitch_0 则与购买成功有关
7> 我们可让其判断总为成功,便可达到内购破解的目的,改的方法有很多,这里我们利用 goto 指令就可简单实现,目标就是让其跳转到成功购买
汇编中的跳转指令
1. goto :goto_0 偏移量goto_0不能为0,通过短偏移量无条件跳转到目标;
2. If语句;
3. switch
3.1 packed-switch v0, :pswitch_data_0 v0是switch需要判断的值;
3.2 :pswitch_data_0 偏移表,表中值是有规律递增的;
3.3 sparse-switch v0, :pswitch_data_0 偏移表中值是无规律的。
8> 最后,来看看我们修改的结果吧
02x03 修改游戏内存
这个就不多说了,直接上工具
a. root手机,安装目标APP和内存修改器(这里使用了八门神器)
b. 先启动八门神器(类似的像葫芦侠,幸运破解器,烧饼修改器等)
c. 进入应用,开始飙车,后拿出八门神器,对金币值进行搜索
d. 因数值较多,可继续搜索,进一步确定金币的内存数据
e. 可以看到,只有一条数据发生变化,直接修改,这里改为 12345678
f. 修改成功,同时也说明此游戏没有防护
g. 至此,可退出八门神器,继续飙车,秋名山等着你
02x04 其他方法
其他方法如,进程注入,Hook,修改初始数据(找到本地的相关文件直接修改)等,反正就是改,,,为了尊重开发者,还是跟着游戏规则慢慢玩就好,不然也会失去游戏的一些乐趣。
原文地址:http://blog.51cto.com/13659284/2088718